¿Puedo usar un escáner de huellas dactilares en mi sitio web? [cerrado]
https://stackoverflow.com/questions/4169678
-
09-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy haciendo una aplicación web y me gustaría tener un área segura donde sólo se puede acceder con su huella dactilar. Mi idea original era sólo tiene que utilizar un lector de código de barras USB y escanear dicha, y se da salida a la identificación en un cuadro de texto, pero eso no es muy seguro. Por eso quiero usar un lector de huellas digitales USB para generar tal vez un hash para cada persona y tienda que en un cuadro de texto en su lugar. Que luego será comparar esa información con una base de datos con el valor hash de todos. ¿Alguien sabe si hay un lector de huellas digitales por ahí que puede hacer esto, o de una manera que se puede integrar fácilmente un lector en un sitio web?
EDIT: La idea de este sitio es que es como un sistema de inicio de sesión (Algo así como la forma en que pueda reloj de entrada y si le pagan por hora) La idea es que nadie puede firmar otra persona dentro y fuera. Si sólo utiliza una contraseña, que alguien sólo puede decirle a su amigo la contraseña que puede escribir en. Es por eso que pensé de una huella digital, o algo similar ... Estoy abierto a otras sugerencias
Además, estoy usando PHP
EDIT 2: La idea básica, es que tengo que llegar a una forma de demostrar que alguien estaba allí comprobando en que no quiero utilizar contraseñas, porque entonces alguien puede decirle a otra persona su contraseña para escribir. . ¿Cualquier otra sugerencia? No tiene por qué ser las huellas dactilares.
Solución
No se puede hacer lo que quiere, exactamente.
Las huellas dactilares no exactamente coinciden. Incluso si escanea su dedo índice derecho dos veces seguidas, las imágenes no serán los mismos. Así "hashing la huella digital" no funcionará -. Dos valores hash del mismo dedo sería indistinguible de dos hashes de dos dedos diferentes (con una buena, criptográficamente fuerte hash)
huella digital lectores de trabajo mediante el almacenamiento de algunos de los principales a bordo, y dejar que la llave si y sólo si la huella dada es lo suficientemente cerca de lo que esperan. La huella digital en sí no se utiliza para obtener acceso directo a cualquier cosa fuera del lector.
El envío de la huella digital como se ve por el lector a través de la red no es aceptable - la gente está nerviosa acerca de dar sus impresiones a la policía. Crees que van a estar bien dándoles a usted?
Además, no es aceptable es que tiene la palabra lector de "dedo 2 está bien". Esto podría ser fácilmente falsificado.
En su lugar, debe usar el usuario X.509 (SSL) certificados de cliente para acceder a su sitio. Ellos pueden, si lo desean, controlar el acceso a su clave privada a través del lector de huellas digitales.
EDIT: la actualización de esta respuesta. Hay, ahora en el año 2014, un estándar de la Alianza FIDO llama "UAF" que permite a los sitios utilizan la autenticación de huellas digitales de una manera que funciona en diferentes sitios. Corre el rumor de PayPal va a comenzar a utilizarlo pronto.
Otros consejos
La biometría es una muy mala manera de hacer la autenticación por muchas razones:
- Están esencialmente sólo una contraseña que nunca pueden cambiar. (Al menos no sin un poco de dolor en serio!) Con los esquemas tradicionales de contraseña, si su contraseña es robado o supuso, al menos puede cambiarlo. Pero si alguien roba su huella digital, ahora ¿qué vas a hacer?
-
La biometría no es secreto. Cada vez que se toca algo, que está dejando su contraseña por ahí. Cada vez que su imagen se ha tomado su imagen facial / imagen retiniana se copia. Las contraseñas tienen que mantenerse en secreto para ser útil.
-
Al igual que Borealid dijo, Biometría nunca son escaneados exactamente lo mismo dos veces. Así que cuando lo hace a juego, tiene que haber algún tipo de factor de elusión en permitir la entrada. Este:
-
Sólo hace que sea más fácil para los atacantes para copiar sus datos y jugarlo de nuevo, ya que no tienen que obtener una coincidencia exacta. Un atacante sólo tiene que acercarse para ser aceptado.
-
Obliga al servidor de autenticación para almacenar la información biométrica en su texto plano. Puede hash de los datos no biométricos como se puede contraseñas, ya que entonces tendría que coincidir exactamente con el valor hash.
-
Así que no lo haga!
Biometría para la autenticación remota es no seguro. No se puede saber si un verdadero dedo con la huella digital que se encuentra en un lector, o si el usuario sólo le envía una imagen. Así que una huella digital sólo se convierte en una contraseña que el usuario nunca puede cambiar, que es el mismo para todos los servicios que se conecte a, y que está a la izquierda en todos los objetos del usuario toca.
Biometría sólo puede trabajar para la autenticación local en el que confía en que el lector puede no cortado (es decir. Que tiene el control físico sobre el lector) y el lector puede distinguir un dedo verdadero / ojos / ... de uno falso. Que la mayoría no puede.
Es posible crear un hash de una forma de una huella digital. Primero tiene que extraer un número de observables al igual que lo puede hacer por una coincidencia parcial. Pero ya que se necesita una coincidencia exacta para un hash que necesita para lanzar códigos de error en los valores que extrajo que luego se pueden corregir las diferencias de menor importancia en cada medición. No es fácil de código y no soluciona los problemas fundamentales antes mencionados, pero debería ser posible.
Así que desea utilizar un mecanismo de autenticación local para autenticar a un recurso remoto? Hay muchas cuestiones aquí para sugerir que esto no sería una opción inteligente. Por ejemplo, ¿cómo sabe la aplicación web el hash pertenece al usuario original y no a alguien que tiene un duplicado?
Lo que sugeriría lugar es ir a la ruta de los bancos de hace varios años cuando tenían lectores de tarjetas inteligentes enviados a los clientes de tarjetas de crédito. Utilizar el escáner de huellas digitales para almacenar una copia local del nombre de inicio de sesión del usuario, lo que requiere una segunda forma de autenticación, como una contraseña.
Esto es tan falso. ¿Por qué no se puede cifrar una huella digital? Su maestro se almacena cifrada, se envía un uno cifrada al servidor. El software del servidor de la ONU a cifrar tanto y hace la comparación. Sencillo. Sus soluciones 'expertos' son falsas.
¿por qué no usar software de partido la cara para la autenticación.
